操作步骤 操作步骤中的界面截图以企业账号为例，个人账号请以实际界面为准。 进入“基本信息”页面。 单击“注册邮箱”后的“修改”。 跳转到“修改注册邮箱”页面。 进行身份验证。 通过手机号码进行身份验证 单击“通过短信验证码验证”后面的“立即验证”。 单击“获取验证码”，获取并输入短信验证码，单击“下一步”。 通过注册邮箱进行身份验证 单击“通过邮箱验证码验证”后面的“立即验证”。 单击“获取验证码”，获取并输入邮箱验证码，单击“下一步”。 输入新注册邮箱，单击“获取验证码”，获取并输入邮箱验证码。 单击“确定”。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 与传统的本地数据中心相比，云计算的运营方和使用方分离，提供了更好的灵活性和控制力，有效降低了客户的运营负担。正因如此，云的安全性无法由一方完全承担，云安全工作需要华为云与您共同努力，如图1所示。 华为云：无论在任何云服务类别下，华为云都会承担基础设施的安全责任，包括安全性、合规性。该基础设施由华为云提供的物理数据中心（计算、存储、网络等）、虚拟化平台及云服务组成。在PaaS、SaaS场景下，华为云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户：无论在任何云服务类别下，客户数据资产的所有权和控制权都不会转移。在未经授权的情况下，华为云承诺不触碰客户数据，客户的内容数据、身份和权限都需要客户自身看护，这包括确保云上内容的合法合规，使用安全的凭证（如强口令、多因子认证）并妥善管理，同时监控内容安全事件和账号异常行为并及时响应。 图1 华为云安全责任共担模型 云安全责任基于控制权，以可见、可用作为前提。在客户上云的过程中，资产（例如设备、硬件、软件、介质、虚拟机、操作系统、数据等）由客户完全控制向客户与华为云共同控制转变，这也就意味着客户需要承担的责任取决于客户所选取的云服务。如图1所示，客户可以基于自身的业务需求选择不同的云服务类别（例如IaaS、PaaS、SaaS）。不同的云服务类别中，每个组件的控制权不同，这也导致了华为云与客户的责任关系不同。 在On-prem场景下，由于客户享有对硬件、软件和数据等资产的全部控制权，因此客户应当对所有组件的安全性负责。 在IaaS场景下，客户控制着除基础设施外的所有组件，因此客户需要做好除基础设施外的所有组件的安全工作，例如应用自身的合法合规性、开发设计安全，以及相关组件（如中间件、数据库和操作系统）的漏洞修复、配置安全、安全防护方案等。 在PaaS场景下，客户除了对自身部署的应用负责，也要做好PaaS服务中间件、数据库、网络控制的安全配置和策略工作。 在SaaS场景下，客户对客户内容、账号和权限具有控制权，客户需要做好自身内容的保护以及合法合规、账号和权限的配置和保护等。 传统本地部署(On-Prem)：由客户在自有数据中心内部署和管理软件及IT基础设施，而非依赖于远程的云服务提供商； 基础设施即服务(IaaS)：由云服务提供商提供计算、网络、存储等基础设施服务，如弹性云服务器 E CS 、 虚拟专用网络 VPN、 对象存储服务 OBS； 平台即服务(PaaS)：由云服务提供商提供应用程序开发和部署所需要的平台，客户无需维护底层基础设施，如 AI开发平台 ModelArts、云数据库 GaussDB ； 软件即服务 (SaaS)：由云服务提供商提供完整应用软件，客户直接应用软件而无需安装、维护应用软件及底层平台和基础设施，如华为云会议 Meeting。 父主题： 安全

操作步骤 查看裸金属服务器的IP、网关等信息。 查看IP地址： ifconfig bond0 查看网关地址： ip ro 修改网络配置文件。 执行vi /etc/sysconfig/network-scripts/ifcfg-bond0命令打开“/etc/sysconfig/network-scripts/ifcfg-bond0”文件，将网络信息由动态改为静态注释，或者删除“PERSISTENT_DHCLIENT=1”，增加“IPADDR”、“NETMASK”、“GATEWAY”三个配置项（分别对应IP、掩码和网关信息）： 图1 修改网络配置文件 IP、掩码和网关等网络信息必须和裸金属服务器下发时保持一致，否则可能会引起网络不通。 执行systemctl disable bms-network-config.service命令禁用bms-network-config网络脚本。 重启裸金属服务器使网络配置生效，或者kill dhclient进程再重启网络服务使静态配置生效。

前提条件 已获取证书，并下载签发证书。 推荐您通过云证书与管理服务（Cloud Certificate & Manager，CCM）购买签发证书，CCM证书申请流程请参见CCM快速入门，下载签发证书后，并转换证书格式为jks格式，具体的操作请参见转换证书格式。 该证书文件大小不超过20KB，且证书文件包含证书密码。 上传证书绑定的域名已解析到绑定 堡垒机 实例的弹性公网IP，具体的操作请参见配置公网域名解析。 用户已获取“系统”模块管理权限。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 与传统的本地数据中心相比，云计算的运营方和使用方分离，提供了更好的灵活性和控制力，有效降低了客户的运营负担。正因如此，云的安全性无法由一方完全承担，云安全工作需要华为云与您共同努力，如图1所示。 华为云：无论在任何云服务类别下，华为云都会承担基础设施的安全责任，包括安全性、合规性。该基础设施由华为云提供的物理数据中心（计算、存储、网络等）、虚拟化平台及云服务组成。在PaaS、SaaS场景下，华为云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户：无论在任何云服务类别下，客户数据资产的所有权和控制权都不会转移。在未经授权的情况下，华为云承诺不触碰客户数据，客户的内容数据、身份和权限都需要客户自身看护，这包括确保云上内容的合法合规，使用安全的凭证（如强口令、多因子认证）并妥善管理，同时监控内容安全事件和账号异常行为并及时响应。 图1 华为云安全责任共担模型 云安全责任基于控制权，以可见、可用作为前提。在客户上云的过程中，资产（例如设备、硬件、软件、介质、虚拟机、操作系统、数据等）由客户完全控制向客户与华为云共同控制转变，这也就意味着客户需要承担的责任取决于客户所选取的云服务。如图1所示，客户可以基于自身的业务需求选择不同的云服务类别（例如IaaS、PaaS、SaaS）。不同的云服务类别中，每个组件的控制权不同，这也导致了华为云与客户的责任关系不同。 在On-prem场景下，由于客户享有对硬件、软件和数据等资产的全部控制权，因此客户应当对所有组件的安全性负责。 在IaaS场景下，客户控制着除基础设施外的所有组件，因此客户需要做好除基础设施外的所有组件的安全工作，例如应用自身的合法合规性、开发设计安全，以及相关组件（如中间件、数据库和操作系统）的漏洞修复、配置安全、安全防护方案等。 在PaaS场景下，客户除了对自身部署的应用负责，也要做好PaaS服务中间件、数据库、网络控制的安全配置和策略工作。 在SaaS场景下，客户对客户内容、账号和权限具有控制权，客户需要做好自身内容的保护以及合法合规、账号和权限的配置和保护等。 传统本地部署(On-Prem)：由客户在自有数据中心内部署和管理软件及IT基础设施，而非依赖于远程的云服务提供商； 基础设施即服务(IaaS)：由云服务提供商提供计算、网络、存储等基础设施服务，如弹性云服务器 ECS、虚拟专用网络 VPN、对象存储服务 OBS； 平台即服务(PaaS)：由云服务提供商提供应用程序开发和部署所需要的平台，客户无需维护底层基础设施，如AI开发平台 ModelArts、云数据库 GaussDB； 软件即服务 (SaaS)：由云服务提供商提供完整应用软件，客户直接应用软件而无需安装、维护应用软件及底层平台和基础设施，如华为云会议 Meeting。 父主题： 安全

访问控制 AS支持通过权限控制（ IAM 权限）、项目和企业项目、敏感操作、安全组进行访问控制。 表1 AS访问控制 访问控制方式 简要说明 详细介绍 权限控制（IAM权限） 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 权限管理 项目和企业项目 项目和企业项目都可以授权给一个或者多个用户组进行管理，管理企业项目的用户归属于用户组。通过给用户组授予策略，用户组中的用户就能在所属项目/企业项目中获得策略中定义的权限。 管理项目和企业项目 敏感操作 当您开启操作保护后，进行删除伸缩组操作时，需要进行身份认证。 敏感操作 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 配置安全组规则

身份认证 统一身份认证 服务（Identity and Access Management，简称IAM）提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有AS的使用权限，但是不希望他们拥有删除伸缩组等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用伸缩组，但是不允许删除伸缩组的权限策略，控制他们对AS资源的使用范围。

响应参数 状态码：200 表9 响应Body参数 参数 参数类型 描述 code String 状态码 data String 下发任务id message String 状态信息 request_id String 请求id success Boolean 请求状态 状态码：400 表10 响应Body参数 参数 参数类型 描述 code String 参数解释: 错误码 取值范围: 不涉及 message String 参数解释: 错误描述 取值范围: 不涉及

请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 参数解释： 用户Token，通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。获取用户Token 约束限制： 不涉及 取值范围： 不涉及 默认取值： 不涉及 Content-Type 是 String 参数解释： 内容类型 application/json;charset=UTF-8 普通API请求的类型 约束限制： 不涉及 取值范围： application/json;charset=UTF-8 默认取值： 不涉及 X-Secmaster-Version 是 String 服务版本，例如25.5.0 表4 请求Body参数 参数 是否必选 参数类型 描述 data_object 否 data_object object 策略实体信息 表5 data_object 参数 是否必选 参数类型 描述 retry_list 否 Array of strings 重试策略ID block_age 是 block_age object 阻断老化 block_target 是 String 策略对象 defense_policy_list 是 Array of defense_policy_list objects 与操作连接对应的策略列表 description 否 String 描述信息 labels 否 String 标签 policy_category 是 String 类型,WHITE/BLOCK,WHITE代表加白(将ip等对象加入白名单),BLOCK代表阻断(将ip等对象加入黑名单) policy_type 是 policy_type object 阻断类型 region_id 是 String 区域ID policy_direction 否 String 出入方向 account_scope 否 String 账号范围 eps_scope 否 String 企业项目范围 region_scope 否 String region范围 表6 block_age 参数 是否必选 参数类型 描述 is_block_ageing 是 Boolean 是否阻断老化 block_ageing 否 String 老化时间，毫秒级时间戳 表7 defense_policy_list 参数 是否必选 参数类型 描述 defense_connection_id 是 String 操作连接ID defense_connection_name 是 String 操作连接名称 defense_connection_region_id 是 String 防线策略归属区域ID defense_connection_region_name 是 String 防线策略归属区域名称 defense_type 是 String 防线服务 target_enterprise_id 是 String 企业项目ID target_enterprise_name 是 String 企业项目名称 target_project_id 是 String 防线策略归属项目ID target_project_name 是 String 防线策略归属项目名称 表8 policy_type 参数 是否必选 参数类型 描述 policy_type 是 String 阻断类型：User Name/Source Ip/Domain Name

请求示例 https://{endpoint}/v1/{project_id}/workspaces/{workspace_id}/soc/policys?action_type=create { "data_object" : { "region_id" : "RegionId", "block_target" : "1.2.3.4", "policy_category" : "BLOCK", "description" : "", "labels" : "", "block_age" : { "is_block_ageing" : false, "block_ageing" : null }, "policy_type" : { "policy_type" : "Source Ip" }, "defense_policy_list" : [ { "defense_connection_id" : "84b273d3-47a8-3aba-bd00-7bdd1431d635", "defense_connection_name" : "CFW云服务认证凭据", "defense_type" : "CFW", "target_enterprise_id" : "0", "target_enterprise_name" : "default", "target_project_id" : "3bb27e024693436da46b5f5aaf499060", "target_project_name" : "RegionName", "defense_connection_region_id" : "RegionId", "defense_connection_region_name" : "RegionName" } ] } }

URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/policys 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 参数解释： 项目ID，用于明确项目归属，配置后可通过该ID查询项目下资产，可以通过调用API获取，也可以从控制台获取。获取项目ID 约束限制： 不涉及 取值范围： 不涉及 默认取值： 不涉及 workspace_id 是 String 参数解释： 工作空间id。 约束限制： 不涉及 取值范围： 不涉及 默认取值： 不涉及 表2 Query参数 参数 是否必选 参数类型 描述 action_type 是 String 操作类型：create创建，retry重试

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 参数解释： 用户Token，通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。获取用户Token 约束限制： 不涉及 取值范围： 不涉及 默认取值： 不涉及 Content-Type 是 String 参数解释： 内容类型 application/json;charset=UTF-8 普通API请求的类型 约束限制： 不涉及 取值范围： application/json;charset=UTF-8 默认取值： 不涉及 X-Secmaster-Version 是 String 服务版本，例如25.5.0 表3 请求Body参数 参数 是否必选 参数类型 描述 batch_ids 否 Array of strings 删除应急策略的ID列表

URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/policys/batch-delete 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 参数解释： 项目ID，用于明确项目归属，配置后可通过该ID查询项目下资产，可以通过调用API获取，也可以从控制台获取。获取项目ID 约束限制： 不涉及 取值范围： 不涉及 默认取值： 不涉及 workspace_id 是 String 参数解释： 工作空间id。 约束限制： 不涉及 取值范围： 不涉及 默认取值： 不涉及

响应参数 状态码：200 表5 响应Body参数 参数 参数类型 描述 success_list Array of Dictionary objects 正常字典列表 failed_list Array of Dictionary objects 异常字典列表 表6 Dictionary 参数 参数类型 描述 id String uuid version String 版本号 dict_id String 字典id dict_key String 字典key dict_code String 字典code dict_val String 字典值 dict_pkey String 字典关联的父key dict_pcode String 字典关联的父code create_time String 创建时间 update_time String 更新时间 publish_time String 发布时间 scope String 字典所属领域 description String 字典描述信息 extension_field Object 额外字段 project_id String 参数解释： 项目ID，用于明确项目归属，配置后可通过该ID查询项目下资产，可以通过调用API获取，也可以从控制台获取。获取项目ID 约束限制： 不涉及 取值范围： 不涉及 默认取值： 不涉及 language String 用户当前语言环境

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 X-Language 是 String 用户当前语言环境 表3 请求Body参数 参数 是否必选 参数类型 描述 dict_list 否 Array of DictionaryCreate objects 字典列表 is_built_in 否 Boolean 是否创建内置字典 表4 DictionaryCreate 参数 是否必选 参数类型 描述 version 否 String 版本号 dict_id 是 String 字典id dict_key 是 String 字典key dict_code 是 String 字典code码 dict_val 是 String 字典值 dict_pkey 否 String 字典key dict_pcode 否 String 字典关联的父code scope 否 String 字典所属领域 description 否 String 字典描述信息 extend_field 否 Object 额外字段 language 是 String 用户当前语言环境